Microsoft hat den Google-Ingenieur Tavis Ormandy kritisiert, der gestern vor einer neuen Zero-Day-Lücke in Windows gewarnt hat. Sein Vorgehen verstoße gegen die Regeln für einen verantwortlichen Umgang mit Schwachstellen, wie sie auch Google vertrete, so der Softwareanbieter.
Ormandy hatte nach eigenen Angaben Microsoft am 5. Juni über eine von ihm entdeckte Sicherheitslücke in Windows informiert. Details zu der Anfälligkeit sowie Beispielcode für einen Exploit veröffentlichte er nur fünf Tage später auf der Mailing-Liste Full Disclosure. „Ich möchte darauf hinweisen, dass man mich nicht ernst genommen hätte, wenn ich die Schwachstelle ohne einen funktionierenden Exploit veröffentlicht hätte“, heißt es darin.
„Ein Grund, warum wir und viele andere in der Branche für einen verantwortlichen Umgang mit Schwachstellen eintreten, ist, dass der Anbieter der Software die besten Möglichkeiten hat, die Ursache vollständig zu verstehen“, schreibt Mike Reavey, Chef des Microsoft Security Response Center, in einem Blogeintrag. „Obwohl Ormandys Entdeckung grundsätzlich wichtig ist, hat sich herausgestellt, dass seine Analyse unvollständig ist und der von ihm vorgeschlagene Workaround leicht umgangen werden kann.“ In einigen Fällen werde für ein umfassendes Update, das funktioniere und keine Qualitätsprobleme verursache, mehr Zeit gebraucht.
Nach Ansicht des Sicherheitsforschers Robert Hansen sei es unvernünftig gewesen, anzunehmen, Microsoft könne so kurzer Zeit einen Patch entwickeln. „Google war in der Vergangenheit einer der lautesten Befürworter eines verantwortlichen Umgangs mit Schwachstellen. Und es scheint, als habe Tavis nicht allein gehandelt – er nennt andere Sicherheitsforscher bei Google als Helfer“, schreibt Hansen in Kasperskys ThreatPost-Blog. Google scheine mit dem Vorgehen Ormandys einverstanden gewesen zu sein. „Diese Scheinheiligkeit ist unglaublich.“
Ein Google-Sprecher erklärte, Ormandy habe eigenmächtig gehandelt und dafür eigene Forschungen verwendet, die er in seiner Freizeit angestellt habe. „Tavis persönliche Ansichten zur Veröffentlichung von Schwachstellen müssen nicht unbedingt die Meinungen seiner Kollegen oder Googles als Ganzes wiedergeben.“ Ob Ormandys Verhalten gegen Googles Geschäftspolitik verstoße, wollte der Sprecher nicht kommentieren.
Laut einer Sicherheitswarnung von Microsoft ermöglicht es die Schwachstelle, einen White-List-Filter zu umgehen, wodurch ein Angreifer die Kontrolle über einen Computer mit Windows XP oder Windows Server 2003 übernehmen kann. Dafür sei es nur notwendig, einen Anwender auf eine manipulierte Website zu locken. Microsoft hält Angriffe auf die Zero-Day-Lücke für wahrscheinlich. Nutzer von Windows 2000, Vista, Server 2008, 7 und Server 2008 R2 sind nicht betroffen.
ZDNet.de steht nun auch in einer für mobile Geräte optimierten Version zur Verfügung. Unter m.zdnet.de finden Sie Nachrichten, Blogs und Testberichte.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…